僵尸网络恶意软件：远程桌面协议(RDP)攻击

随着充满活力的劳动力的兴起，IT 团队被迫比以往任何时候都更加依赖远程访问。现在有近 500 万台远程桌面协议 (RDP) 服务器暴露在互联网上，比大流行之前增加了约 200 万台。远程桌面是大多数公司的基本功能，但经常被网络犯罪分子利用。攻击者试图操纵整个城市供水中的化学物质浓度的佛罗里达水厂事件等事件表明，这种网络威胁的后果是多么致命。

上个月，在亚太地区的一家科技公司检测到服务器端攻击。黑客暴力破解了 RDP 服务器，并试图在整个组织中传播。及早发现此漏洞对于阻止网络犯罪分子创建僵尸网络并使用它造成严重破坏至关重要，可能会发起勒索软件或分布式拒绝服务 (DDoS) 攻击。

如何制作僵尸网络

只需要一个易受攻击的 RDP 服务器，威胁行为者就可以在组织中获得初步立足点并横向传播以建立他们的僵尸网络军队。僵尸程序只是受感染的设备，可以由恶意第三方控制；一旦积累了这些主机的网络，黑客就可以执行一系列操作，包括：

• 泄露用户凭证和支付数据
• 将木马恶意软件上传到服务器，这会在伪装成合法软件的同时打开系统后门
• 部署勒索软件，如去年在Dharma 攻击中所见
• 将公司基础设施的访问权出租给其他威胁参与者
• 使用僵尸设备的 CPU挖掘加密货币

事实上，一旦攻击者获得了对这些设备的远程访问权限，几乎没有什么是做不到的。僵尸网络恶意软件往往包含自我更新功能，允许所有者添加或删除功能。而且由于攻击者使用合法的管理 RDP 凭据，传统安全工具很难检测到这种恶意活动，直到为时已晚。

出租 DDoS：一家网络犯罪企业

近年来，网络犯罪的交易蓬勃发展，使事情进一步复杂化。现在，在暗网上可以轻松获得基于订阅和租赁的模型，用于从勒索软件即服务到私人数据拍卖等一系列非法活动。因此，攻击者感染服务器并在线销售这些机器人的使用变得越来越普遍。租用 DDoS 服务以每小时 20 美元的价格提供对僵尸网络的访问。事实上，其中一些工具包甚至是合法的，并将自己作为“IP 压力源”或“引导程序”进行营销，可以合法地用于测试网站的弹性，但经常被利用并用于关闭网站和网络。

这些发展引发了 DDoS 和僵尸网络恶意软件攻击的新浪潮，因为黑客利用额外的经济激励来创建僵尸网络并在暗网上出租它们。“僵尸网络构建器”工具通过提供僵尸网络恶意软件并协助初始感染来帮助低技能攻击者创建机器人。由于这些工具包的出现，复杂的 RDP 攻击蓬勃发展，降低了此类攻击的技能门槛，从而使其广泛可用。

显微镜下的自动 RDP 攻击

一家托管在线游戏网站的面向 Internet 的 RDP 服务器最近在一家拥有大约 500 台设备的网络上的技术公司遭到入侵。攻击者使用蛮力收集正确的密码并获得对桌面的远程访问。正是在这一点上，Cyber​​ AI开始从罕见的外部位置检测到异常的管理 RDP 连接。

在许多方面，此事件是典型的 RDP 妥协。凭证暴力破解是服务器端攻击的常见初始载体，此外还有凭证填充和漏洞利用。在这种情况下，攻击者可能计划利用暴露的服务器作为感染其他内部和外部设备的支点，可能会创建一个僵尸网络以供雇佣或泄露敏感信息。

在此攻击后大约 14 小时，攻击者从稀有域下载了多个文件。在接下来的 18 小时内，攻击者使用易受攻击的 SMBv1 协议在端口 445 上进行了超过 440 万次内部和外部连接尝试。这些尝试中的大多数是使用凭据“管理员”的 SMB 会话失败。服务器与超过 270 个内部和外部 IP 地址成功地进行了 SMB 会话。

与通常内部使用的端口上的罕见但良性位置的传出连接可能与特定的攻击配置文件不匹配，这意味着它们会被基于签名的安全工具遗漏。然而，尽管缺乏对多个文件下载源的威胁情报，人工智能还是能够观察到活动的极不寻常的性质，从而实现高可信度的检测。

僵尸网络恶意软件和自动化

此事件中的移动速度和缺乏数据泄露表明攻击是自动化的，可能是在僵尸网络构建器工具的帮助下进行的。如果在初始阶段没有提醒安全团队，使用自动化来加速和掩盖漏洞可能会导致严重后果。

针对面向 Internet 的 RDP 服务器的攻击仍然是最常见的初始感染媒介之一。随着自动扫描服务和僵尸网络恶意软件工具的兴起，入侵的难易程度猛增。暴露的服务器被利用只是时间问题。此外，高度自动化的攻击会不断运行，并且可以在整个组织中迅速传播。在这种情况下，让安全团队尽快了解设备上的恶意活动至关重要。

AI 不仅可以自行确定感染源自特定 RDP 服务器，它还实时检测到攻击的每一步，尽管缺乏明确的现有签名。自学习 AI 检测数字环境中用户和设备的异常活动，因此对于以机器速度关闭威胁至关重要。此外，企业免疫系统提供的可见性极大地减少了攻击面并识别维护不善的影子 IT，为数字业务提供了额外的安全层。